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Beschreibung 

Sichere Erfassung von Eingabewerten 

Die Erf indung betrif ft ein System sowie ein Verf ahren zur si- 

cheren Erfassung von Eingabewerten zur Verarbeitung in einer ftl 

CO 

sicherheitsgerichteten Recheneinheit. ^ 

Ebenso wie bei nicht sicherheitsgerichteten Automatisierungs- ^ 
systemen besteht bei sicherheitsgerichteten Automatisierungs- ^ 
systemen der Wunsch, Parameter bzw, Werte Sndem zu kdnnen. ^ 
Der Begriff "sicherheitsgerichtet" (englisch: fail-safe) be- ^ 
zeichnet gemSS DIN V VDE 0801 bzw. VDI/VDE 3542 die FShigkeit ^ 
eines Systems, beim Auftreten eines Ausfalls im sicheren Zu- Q 
stand zu bleiben oder unmittelbar in einen anderen sicheren 
Zustand liberzugehen. Typische Parameter bei sicherheitsge- 
richteten Automatisierungssystemen sind Grenzwerte (z. B» ma- 
ximal er Druck, maximale Temperatur) , bei deren Uberschreitung 
ein gefahrlicher Zustand eintreten wiirde. Diese Grenzwerte 
sind beispielsweise bei Chargenprozessen unabhangig von der 
zu produzierenden Charge und soil ten an die jeweilige Charge 
angepasst werden konnen, Derzeit ist keine sichere BedienmSg- 
lichkeit bekannt. Nach den relevanten Standards (insbesondere 
lEC 61508/IEC 61511) wird gefordert, dass Anderungen, welche 
sicherheitsgerichtete Funktionen betreffen, getestet und ve- 
rifiziert werden miissen. Dies wiirde eine Parameteranderung 
sehr aufwandig machen. Aus sicherheitstechnischer Sicht wer- 
den an eine Parameteranderung die im Polgenden genannten An- 
fordearungen gestellt. Fiihrt die Parameteranderung zur Beein- 
flussxing einer sicherheitsgerichteten Funktionalitat des Au- 
tomatisierungssystems, so ist ein kompletter Fimktionstest 
bei einer solchen Parameteranderung erf orderlich, da im Palle 
eines falschen Parameters lebensgefahrliche ZustSbcide eintre- 
ten konnten. 
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Der Erfindung liegt die Aufgabe zugrunde, die sichere Erfas- 
sung von Eingabewerten mit einer nicht sicherheitsgerichteten 
Bedienvorrichtung zu erm6glichen. 

Diese Aufgabe wird durch ein System mit den im Anspruch 1 ge- 
nannten Merkmalen gelost. Das System zur sicheren Erfassxing 
von Eingabewerten weist eine Bedienvorxichtung und eine si- 
cherheitsgerichtete Recheneinheit auf / wobei die Bedienvor- 
richtung 

• erste Anzeigemittel zur Anzeige eines iiber Eingabemittel 
eingebbaren ersten Werts, 

• Kommunikationsmittel zur unverschliisselten IJbertragung des 
ersten Werts zusammen mit einem Identif izierungswert an 
die Recheneinheit, 

• Rechenmittel zur Umrechnung eines von der Recheneinheit 
ubermittelbaren zweiten Werts in einen dritten Wert, 

• zweite Anzeigemittel zur Anzeige des dritten Werts und 

• dritte Anzeigemittel zur Anzeige eines (iber die Eingabe- 
mittel eingebbaren vierten Werts aufweist, wobei die Re- 
chenmittel zur Umrechnxmg des vierten Werts in einen funf- 
ten Wert vorgesehen sind und die Kommunikationsmittel zur 
xuiverschliisselten Ubertragung des fiinften Werts zusammen 
mit dem Identifizierxingswert an die Recheneinheit vorgese- 
hen sind, 

und wobei die Recheneinheit . 

• Speichermittel zur Speicherung des ersten Werts sowie zur 
Speicheirung von Kontrollwerten und Grenzwerten, 

• erste Vergleichsmittel zum Vergleich des Identif izierungs- 
werts mit einem der Kontrollwerte, 

• zweite Vergleichsmittel ziua Vergleich des ersten Werts mit 
den Grenzwerten, 

• Rechexmiittel zur Umrechnxing des ersten Werts in einen 
zweiten Wert, 

• iibertragungsmittel zur unverschliisselten tibertragung des 
zweiten Werts an die Bedienvorrichtung und 

• dritte Vergleichsmittel zum Vergleich des fiinften Werts 
mit dem ersten Wert aufweist. 



2 



wo 2005/048103 PCT/EP2004/0 12623 



Dlese Aufgabe wird durch ein Verfahren zur sicheren Erfassung 
von Eingabewerten mit den im Anspruch 13 genannten Merkmalen 
gelost/ bei welchem mittels einer Bedienvorrichtung 

• ein uber Eingabemittel eingegebener erster Wert mit ersten 
Anzeigemitteln angezeigt wird, 

• der erste Wert zusainmen mit einem Identif izierungswert im- 
verschliisselt an eine sicherheitsgerichtete Recheneinheit 
ubertragen wird/ 

• ein von der Recheneinheit iibermittelter zweiter Wert in 
einen dritten Wert xmgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln angezeigt wird, 

• ein liber die Eingabemittel eingegebener vierter Wert mit 
dritten Anzeigemitteln angezeigt wird, 

• der vierte Wert in einen fiinften Wert umgerechnet wird und 

• der fiinfte Wert zusammen mit dem Identif izierungswert un- 
verschliisselt an die Recheneinheit ubertragen wird, 

und bei welchem die Recheneinheit 

• den ersten Wert sowie Kontrollwerte xind Grenzwerte spei- 
chert, 

• den Identif izierungswert mit ein^ der Kontrollwerte mit- 
tels erster Vergleichsmittel vergleicht, 

• den ersten Wert mit den Grenzwerten mittels zweiter Ver- 
gleichsmittel vergleicht, 

• den ersten Wert in einen zweiten Wert xamrechnet, 

• den zweiten Wert unverschliisselt an die Bedienvorrichtung 
iibertragt und 

den fiinften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel vergleicht. 

Die Erfindung beruht auf der Erkenntnis, dass zur Realisie- 
rtmg einer sicheren Erfassung von Eingabewerten ohne eine si- 
cherheitsgerichtete Bedienvorrichtung bei der Erfassung eine 
Anderung der sicherheitsgerichteten F-Funktionalitat unbe- 
dingt vermieden werden muss, da eine seiche Anderung einen 
kompletten Punktionstest der F-Funktionalitat erforderlich 
machen wurde, wenn der Sicherheitslevel gehalten werden soil. 
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Andert man jedoch nur einen Sicherheitsparameter, so ist ge- 
mas der einschlagigen Normen und Richtlinien kein kompletter 
Funkt ions test erforderlich, da es sich im Unterschied zur An- 
dermg einer Sicherheitsfunktion (= F-F\inktion) lun eine zu- 
lassige tJbertragung/Anderung eines Sicherheitsparameters han- 
delt (siehe z. B. lEC 61511, Teil 1, Kapitel 11-7 • 1.5, Anmer- 
kung 2), Das bietet den Vorteil, das die Bedienvorrichtiing, 
und zwar sowolil deren Hardware als auch deren Software nicht 
von einer Abnahmes telle (z. B. TUV = Technischer tiberwa- 
chungsverein) zertifiziert werden muss. Ein weiterer wichti- 
ger Vorteil ist, dass kein Stopp der F-Funktion bzw. des F- 
Programms bei Parameteranderung erforderlich ist, d. h. die 
Erfassung bzw. Anderung von Eingabewerten ist im laufenden 
Betrieb moglich. Es wird somit ermoglicht, dass iiber eine de- 
f inierte zertif izierte Schnittstelle in der sicherheitsge- . 
richteten Recheneinheit, Werte und F-Parameter (z* B. Real-, 
Integer- oder Boolean- Wert) zu bedienen bzw. zu andem sind. 
Das zugehorige Prograinm in der Bedienvorrichtung benotigt 
keine Zertif izier\ing und kann auf jeder beliebigen Bedienvor- 
richtung ablaufen. Es kann vom Betreiber erstellt werden. 

Durch die sichere Priifung des Identifizieinmgswerts mit einem 
der Kontrollwerte durch die Vergleichsmittel werden insbeson- 
dere Adressverfalschungen bei der tfcertragung der Werte bzw. 
des Identifizierungswerts aufgedeckt. Die Schnittstelle (n) 
zwischen Bedienvorrichtung und Recheneinheit kann aus Sicht 
entsprechend einschlagiger Sicherheitsnormen, z. B. IEC61508/ 
als eine von vomeherein eingeplante Schnittstelle betrachtet 
werden, deren Fxinktionalitat entsprechend getestet sein muss. 

GemaS einer vorteilhaf ten Ausgestaltung der Erfindung sind 
die Rechenmittel zur Bildung eines Komplements der Werte vor- 
gesehen. Durch die Spiegelung des Wertes bzw- des Komplements 
konnen Obertragxingsfehler und DatenverfSlschtingen - insbeson- 
dere Common-Mode-Datenverfalschungen - aufgedeckt werden. 
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Geaias einer weiteren vorteilhaf ten Ausgestaltung der Erf in- 
dung weist die Recheneinheit Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel abhangigen Preigabe des ers- 
ten Werts auf . Der Test der auch Acceptance genannten Besta- 
tigung auf Korrektheit dient dem Aufdecken von Datenverf al- 
schungen, einer fehlerhaften Acceptance und einer gleichzei- 
tigen Bediennng von mehreren Bedienvorrichtungen. 

Vorteilhaf terweise sind die ersten Anzeigemittel iind die 
zweiten Anzeigemittel zur Anzeige des ersten bzw. des dritten 
Werts in voneinander unterschiedlicher Pormatierung vorgese- 
hen sind. Aus dem zuriickgegebenen Wert/Komplement wird also 
der Normalwert errechnet und z. B. in anderer Schrift darge- 
stellt. Damit kann ein logischer Kurzschluss in der Bedien- 
vorrichtung aufgedeckt werden, Fehler in der Eingabeiomwand- 
lung werden aufgedeckt/ da der Anwender die Tastatureingabe 
mit dem Eingabefeld vergleicht. Fehler in der Ausgabeumwand- 
lung werden auf gedeckt da der Anwender das Eingabefeld xmd 
den "Readback" vergleicht. Ein "Kurzschluss" des Eingabefel- 
des zum Readback-Peld wird besonders leicht aufgedeckt durch 
die Darstellung des Read-Back in anderer Schrift und durch 
den Vergleich mit dem "iibemommenen Wert" . Dem Anwender wird 
vorteilhaf terweise die MSglichkeit gegeben, die Eingabe abzu- 
brechen, dadurch dass die Bedienvorrichtung eine iiber die 
Eingabemittel aktivierbare Abbruchfunktion aufweist. 

Durch parametrierbare Uberwachungsmittel zur Zeituberwachung 
der tibermittlung des ersten bzw- des vierten Werts in der Re- 
cheneinheit kann das unzulassige gleichzeitige Bedienen von 
mehreren Bedienvorrichtungen aus aufgedeckt werden. 

Urn den Anwender xiber den schliefilich als sicheren Wert durch 
die Recheneinheit ubemommenen Wert zu informieren/ weist die 
Bedienvorrichtung vorteilhaf terweise vierte Anzeigemittel zur 
Anzeige eines weiteren von der Recheneinheit iibertragbaren 
sechsten Werts auf. 
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Die Sicherheit des Systems bzw. des Verfahrens wird welter 
erhoht, wenn Speichermittel zior diversitaren Speicherimg der 
Kontrollwerte vorgesehen sind tind/oder die Eingabemittel kei- 
ne Drag & Drop-Funktion zulassen, so dass der Anwender ge- 
zwungen wird, den Wert bei jeder Eingabe komplett neu ein- 
zugeben. Der Wert wird immer als Tastatureingabe ge f order t. 

Die Recheneinheit weist vorteilhaf terweise sicherheitsgerich- 
tete Ftinktionsmittel zur sicheren Durchfuhnmg eines Funkti- 
ons tests der Bedienvorrichtung auf . Durch die sichere Gene- 
rierxang eines Tests der Bedienfimktion in der Bedienvorrich- 
tung werden insbesondere systematische Fehler der Bedienvor- 
richtung aufgedeckt. Die Fiinktion in der Bedienvorrichtxing 
kann so bei der Inbetriebnahme und bei jedem Proof test- 
Interval getestet werden. Auch dadurch lasst sich ein "Kurz- 
schluss" des Eingabefeldes zum Readback-Feld aufdecken. 

In Umgebungen in denen der Zugrif f von nicht autorisierten 
Personen auf das System nicht zuverlassig verhindert werden 
kann, weist die Bedienvorrichtiing vorteilhaf terweise Mittel 
zur Authentifizierung von Anwendem auf. 

Nachfolgend wird die Erf indung anhand der in den Figuren dar- 
gestellten AusfOhrungsbeispiele naher beschrieben und erlau- 
tert. 

Bs zeigen: 

FIG 1 ein System zur sicheren Erfassung von Eingabewerten 
mit einer nicht sicherheitsgerichteten Bedienvor- 
richtung und einer sicherheitsgerichteten Rechen- 
einheit, 

FIG 2 den Ablauf eines Verfahrens zur sicheren Erfassung 
von Eingabewerten xind 
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PIG 3 ein weiteres System zur sicheren Erfassung von Ein- 
gabewerten mit einer Bedienvorrichtung und einer 
sicherheitsgerichteten Recheneinheit . 

Figur 1 zeigt ein System zur sicheren Erfassung von Eingabe- 
werten mit einer nicht sicherheitsgerichteten Bedienvorrich- 
tung 1 und einer sicherheitsgerichteten Recheneinheit 2, 

B. einer Zentraleinheit (CPU = Central Processing Unit) 
eines Automatisieriingssys terns . Die Bedienvorrichtung 1 weist 
erste itozeigemittel 6, zweite Anzeigemittel 7, dritte Anzei- 
gemittel 8 und vierte Anzeigemittel 9 auf . Des Weiteren weist 
die Bedienvorrichtung 1 Eingabemittel 3, z. B. eine Tastatur, 
sowie Mittel 18 zur Authentif izierung von Anwendem, z. B. 
ein Schloss oder einen {Chip")Kartenleser auf • Zudem enthalt 
die Bedienvorrichtung 1 Rechenmittel 5 sowie Kommunikations- 
mittel 4. Die Kommunikationsmittel 4 sind liber eine Kommuni- 
kationsverbindung 19 mit Kommunikationsmitteln 14 der Rechen- 
einheit 2 verbxxnden. Die Recheneinheit 2 weist erste Ver- 
gleichsmittel 11, zweite Vergleichsmittel 12 sowie dritte 
Vergleichsmittel 13 auf. Die Recheneinheit 2 enthSllt Spei- 
chermdLttel 10 sowie Rechenmittel 15- Des Weiteren weist die 
Recheneinheit 2 parametrierbare Uberwachiingsmittel 16 sowie 
sicherheitsgerichtete Funktionsmittel 17 auf. 

Im Polgenden wird anhand des Ausfiihrungsbeispiels gemSS Fi- 
gur 1 die sichere Erfassung von Eingabewerten naher erlau- 
tert. Ein Anwender des Systems karm mittels der Bedienvor- 
richtung 1 uber die Eingabemittel 3 einen ersten Wert - den 
Eingabewert - eingeben, welcher ihm daraufhin mit den ersten 
Anzeigemitteln 6 angezeigt wird, Der Anwender erhalt durch 
die direkte Anzeige des eingegebenen ersten Werts eine Riick- 
kopplung uber den eingegebenen ersten Wert und kann diesen 
gegebenenfalls korrigieren. Der Anwender beendet die Eingabe 
durch Betatigen einer Return-Taste oder einer speziell dafiir 
vorgesehenen Bestatlgungstaste, welche Teil der Eingabemittel 
3 ist. Der solchermaSen eingegebene erste Wert wird zusammen 
mit einem ihm zugeordneten Identifizierungswert unverschlus- 
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selt an die sicherheitsgerichtete Recheneinheit 2 iibertragen. 
Der Idexitif izierungswert wird im Folgenden auch Identif izie- 
nongskenniong oder Val-ID genannt. Die sicherheitsgerichtete 
Recheneinheit 2 speichert den empfangenen ersten Wert wad 
vergleicht zum einen mittels erster Vergleichsmittel 11 den 
mitubertragenen Identif izieningswert mit einem in den Spei- 
chermitteln 10 der Recheneinheit 2 gespeicherten Kontrollwert 
\md vergleicht zum anderen mittels zweiter Vergleichsmittel 
12 den ersten Wert mit in den Speichermitteln 10 der Rechen- 
einheit 2 hinterlegten Grenzwerten. Im nachsten Schritt rech- 
nen die Rechenmittel 15 der Recheneinheit 2 den ersten Wert 
in einen zweiten Wert urn. Diese Umrechnung ist im Ausfiih- 
rungsbeispiel die Bildung des Komplements (= Komplementar- 
wert) des ersten Werts. Der solchermaSen umgerechnete bzw. 
umgeformte zweite Wert (hier also das Komplement des ersten 
Werts) wird, wiederxim unverschliisselt/ an die Bedienvorrich- 
tung 1 zuruckiibertragen (gespiegelt) \md in der Recheneinheit 
2 mit Rechenmitteln 5 in einen dritten Wert umgerechnet. Die- 
se Umrechnxing vom zweiten in den dritten Wert ist eine zur 
ersten Umrechnung vom zweiten in den dritten Wert inverse O- 
peration (hier wiederum die Bildung des Komplements) . Der 
derart umgerechnete bzw. umgeformte dritte Wert sollte somit 
zahlenmaSig dem ersten Wert entsprechen. Der dritte Wert wird 
mit zweiten Anzeigemitteln dem Anwender angezeigt. Der Anwen- 
der priif t den angezeigten dritten Wert und gibt gegebenen- 
falls als Bestatigung der Ubereinstimmung des ihm angezeigten 
ersten Werts mit dem ihm angezeigten dritten Wert uber die 
Eingabemittel 3 der Bedienvorrichtxing 1 den gleichen Wert 
nochmals - zum zweiten Mai - als vierten Wert ein. Der einge- 
gebene vierte Wert wird ihm mit dritten Anzeigemitteln 8 wie- 
derum direkt angezeigt, so dass er eine direkte Ruckkopplung 
erhalt imd seine Eingabe gegebenenfalls direkt korrigieren 
kann. Im nachsten Schritt rechnet die Bedienvorrichtung 1 mit 
den Rechenmitteln 5 den vierten Wert in einen fiinf ten Wert 
\am, hier wieder in den Komplementarwert, und itoertragt den 
fiinften Wert zusaramen mit dem Identif izierungswert unver- 
schliisselt an die Recheneinheit 2. Die Recheneinheit 2 ver- 
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gleicht daraufhin den fiinf ten Wert mit dem in den Speicher- 
mitteln 10 gespeicherten ersten Wert niittels dritter Ver- 
gleichsmittel 13. Der funfte Wert sollte das Komplement des 
ersten Werts sein. Haben alle mit den Vergleichsmitteln 11, 
12, 13 durchgefiihrten Vergleiche zu einem erfolgreichen Er- 
gebnis gefiihrt, kann die Recheneinheit 2 in einem letzten 
Schritt den solchermaSen sicher erfassten ersten Wert als si- 
cheren Eingabewert weiterverarbeiten. 

Figur 2 zeigt den Ablauf eines Verfahrens zur sicher en Erfas- 
s\mg von Eingabewerten. Das Verfahren dient zum sicher en Er- 
fassen eines Eingabewerts als sicherer Wert (sogenannter P- 
Value) 45 mittels einer F-Pimktion 28 (F = Failsafe), welche 
z. B. in der Recheneinheit 2 gemaS Figur 1 ablauf t. Ein An- 
wender fiihrt iiber Eingabemittel, B. ein Bedienterminal , 
eine Tasteneingabe 20 aus. Der vom Anwender eingegebene Wert 
wird in einem Eingabefeld 22 dargestellt. Der Anwender ver- 
gleicht den im Eingabefeld 22 dargestellten Wert mit dem von 
ihm eingegebenen Wert. Der Vorgang des Vergleichs durch den 
Anwender ist in Figur 2 mit dem Bezugszeichen 21 gekennzeich- 
net. Ist der Wert nach Ansicht des Anwenders korrekt eingege- 
ben, driickt er eine tJbemahmetaste 23. Daraufhin wird der 
eingegebene Wert als Wert 24 in ein Speicherwort 25 geschrier 
ben. Dieses Speicherwort 25 wird in einem Schreibauf trag 26 
zusammen mit einer Kennung zur Identif izierung an eine Einga- 
beschnittstelle 27 zur F-Funktion 28 iiber tragen. Die Eingabe- 
schnittstelle 27 selbst ist nicht sicherheitsgerichtet ausge- 
fiihrt. Die F-F\inktion 28 spiegelt den Eingabewert als Komple- 
ment 29 iiber eine sogenannte Spiegel-Schnitts telle 30 zuriick. 
Mittels einem Lese-Dienst 31 (Polling) wird das Komplement 
als Speicherwort 32 von der Bedienvorrichtiing gelesen. In der 
Bedienvorricht\mg erfolgt eine Wandlung 33 des Speicherworts 
in dessen KomplementSrwert . Der Komplementarwert des Spei- 
cherworts 32 sollte der im ersten Schritt eingegebene Wert 
sein. Der KomplemenJtSrwert wird nun auf einem Anzeigefeld 34 
angezeigt. Der Anwender vergleicht in einem weiteren Ver- 
gleich 35 die beiden im Eingabefeld 22 bzw. im Anzeigefeld 34 
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angezelgten Werte und gibt, falls beide Werte ubereinstiimnen, 
zur Bestatigung den Wert mit einer Tasteneingabe 36 ein zwei- 
tes Mai ein. Der dermaSen eingegebene Wert wird wiederum in 
einem weiteren Eingabefeld 38 angezeigt \ind durch einen wei- 
teren Vergleich 37 des Anwenders direkt gepruft* Der Anwender 
kann bei Ubereinstimmung des eingegebenen Werts mit den zuvor 
angezeigten Werten wiederum eine Ubemahmetaste 39 betatigen 
und damit eine Wandlung 40 des eingegebenen Werts in dessen 
Koniplement anstoSen. Dieses Komplement wird als Speicherwort 
41 zwi3chengespeicliert und in einem Schreibauftrag 42 zusam- 
men mit der Identif izierungskennung an eine so genannte Ac- 
ceptance-Schnitts telle 43 zur F-Funktion 28 als sogenannte 
Acceptance 44 iibertragen. Die F-Fxinktion 28 pruft die Accep- 
tance 44 und ubemimmt bei Korrektheit den eingegebenen Wert 
als sicheren Wert 45. Im Ausfuhrungsbeispiel gemaS Figur 2 
wird dieser Wert zudem als sicherer Wert 46 an die Bedienvor- 
richtung libertragen und in einem weiteren Anzeigefeld 47 dem 
Anwender angezeigt ♦ Der Anwender hat nun noch die Gelegen- 
heit, mit einer emeuten Sicherheitseingabe oder einem Stopp 
der Funktion zu reagieren, wenn der im Anzeigefeld 47 ange- 
zeigte Wert nicht dem gewunschten Bingabewert entspricht. 

Figur 3 zeigt ein weiteres System zur sicheren Erfassung von 
Bingabewert en mit einer Bedienvorrichtung und einer sicher- 
heitsgerichteten Recheneinheit. Figur 3 dient insbesondere 
zur Verdeutlichung, welche Telle eines solchen Systems si- 
cherheitsgerichtete Funktionen ausfiihren und insofern sicher 
ausgefiihrt sein miissen bzw. von einer Abnahmestelle (z. B. 
TDV) abgenommen oder zertifiziert werden miissen. Diese Telle 
des Systems zur Ausfiihrung sicherheitsgerichteter Funktionen 
sind in Figur 3 mit den Bezugszeichen 62-71 gekennzeichnet . 
Die librigen (mit den Bezugszeichen 50 - 61 gekennzeichneten) 
Telle des Systems konnen in normaler Ausfiihrung, d, h. in 
nicht sicherheitsgerichteter Ausfiihrung, ausgefiihrt werden. 

Im Ausfiihrungsbeispiel gemSS Figur 3 gibt ein erster Anwender 
51 einen neuen Wert 53 als Bingabewert in die nicht sicher- 
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heitsgerichtete Bedienvorrichtung 50 ein. Dieser neue Wert 
wird zusairanen mit einer Identifizieningskenniing als Daten 56 
an die sicherheitsgerichtete F-Fiinktion 64 iibertragen. Die F- 
Funktion 64 gibt entweder den neuen Wert als Riicklesewert 57 
an die Bedienvorrichtung 50 zuriick oder meldet einen Status- 
wert 58/ z. B. einen Fehler, Daraufhin kann der erste Anwen- 
der 51 durch nochmalige Eingabe 54 des neuen Werts als Accep- 
tance den zuriickgelesenen Wert akzeptieren. Die Bedienvor- 
richtung gibt die Acceptance 59 an die F-Funktion 64 weiter. 
Optional - insbesondere zur ErhShung der Sicherheit - kann 
ein zweiter Anwender 52 den Wert akzeptieren, indent er eine 
Acceptance 55 an die Bedienvorrichtung 50 abgibt. Wahlt der 
Anwender 51 bzw* 52 den Abbruch oder wunscht ein Zuriicksetzen 
der F-Funktion 64/ so geht ein Abbruch- bzw. Resetsignal 60 
an die sicherheitsgerichtete F-Funktion 64. Neben den iiber 
nicht sicherheitsgerichtete Schnittstellen eingelesenen Wer- 
ten der Bedienvorrichtung 50 sind weitere sicherheitsgerich- 
tete Parameter 65-71 als Bingangswerte fiir die F-Funktion 
vorgesehen. Ein erster Parameter 65 gibt die maximal zulassi- 
ge Anderung eines neuen Werts im Vergleich zu dem bisherigen 
p_i[/gert vor. Ein oder mehrere weitere Parameter 66 geben abso- 
lute Grenzwerte der jeweiligen Anlage vor. Identifizierungs- 
kennungen sind als Parameter 67 hinterlegt- Fiir einen Test 
der Bedienvorrichtung 50 ist im Parameter 68 ein Riicklesewert 
simuliert. Die F-F\mktion 64 kann durch Setzen oder Nichtset- 
zen des Parameters 69 aktiviert bzw. deaktiviert warden. Der 
Oder die Parameter 70 geben fiir das parametrierbare tJberwa- 
chungsmittel Zeitiiberwachung die Grenzen des Zeitfensters an. 
Der Parameter 71 bestimmt unterschiedliche Betriebsarten der 
F-Funktion 64. Der eingegebene und als sicher akzeptierte 
Wert wird als so genannter sicherer F-Wert 52 auf einem si- 
cheren Weg 63 iibernommen sowie bedarf sweise auf einem nicht 
sicheren Weg 61 an die Bedienvorrichtiing 50 iibertragen • Die 
sicherheitsgerichtete F-Funktion 64 ISuft iiblicherweise in 
der Zentraleinheit (CPU) eines Automatisierungssystems, ins- 
besondere in einer sicherheitsgerichteten Zentraleinheit (F- 
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CPU) / ab. Die F-Funktion kann als F-Funktionsbaustein inner- 
halb eines Automatisierungsprograinms realisiert sein. 

Mogliche Fehler die beherrscht warden miissen sind: 

• Ubertragimgs fehler 

• Fehler in der EingabeiamwandlTing 

• Fehler in der Ausgabeumwandlung 

• Adressverfalschiing 

• Systematische Fehler in der Bedienvorrichtxxng 

• "Kurzschluss" des Eingabef eldes zvxa Readback-Feld 

• zu friihe oder zu spate Datenandeningen 

• gleichzeitiger Zugrif f verschiedener Bedienvorrichtimgen 
auf die Recheneinheit 

Eine Adressverfalschung wird aufgedeckt, da f\ir den F-Wert 
eine Val-ID mitgeschickt wird und gleichzeitig vmabhangig da- 
von in der F-CPU die Val-ID fiir den Wert diversitar (d. h. in 
diesem Fall mit Komplement) gefiihrt wird. Die F-Fimktion ver- 
gleicht die Val-ID. Die Val-ID muss projektweit eindeutig 
sein. 

Prinzipiell wird davon ausgegangen, dass die Anwender, die 
sicherheitsrelevante Eingaben durchfoihren, entsprechend ge- 
schult sind. Somit kann keine vollkommen beliebige Eingabe 
vorkommen. Ublicherweise wird davon ausgegangen, dass mit si- 
cherheitsrelevanten Aufgaben betrauter und demgemaS zuverlas- 
siger Anwender von tausend Bedieneingaben im Schnitt maximal 
eine falsche Eingabe macht. Bisher musste ein Anwender durch 
entsprechende sicherheitsgerichtete Programmierung selbst da- 
fiir sorgen, dass alle oben genannten Fehler, die in der Be- 
dienvorrichtung, der Kommunikation zur F-Fianktion und der Ad- 
ressierung zur F-Punktion auftreten konnen, aufgedeckt und 
beherrscht werden. Wenn er dazu nicht in der Lage war, musste 
er im F-Programm den Peirameter andem, das Programm neu kom- 
pilieren, wieder in die F-CPU laden, und die Anderung testen. 

Im Folgenden wird fiir ein wei teres Ausfiihrungsbei spiel die 
Bedienreihenfolge fur eine (allgemeine) systemunterstutzte 
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sichere Bedienung (F-Bedienung) angegeben. Es gibt auf der 
Bedienoberflache der Bedienvorrichtung fur jeden bedienbaren 
sicherheitsrelevanten Wert/ Parameter 

• eln Elngabefeld, 

• ein Readback-Anzeige-Feld, (Zahlendarstellving in anderer 
Schrif t) 

• ein Wiederholxingseingabefeld (Acceptance) 

• ein Anzeigefeld fiir die Anzeige des aktuell im F-Programm 
verwendeten Wertes. 

Der Anwender gibt uber die Tastatur den neuen Wert in das 
Eingabefeld ein. Der Wert wird von der Bedienvorrichtung (im 
Polgenden auch OS = Operator Station genannt) unverschliisselt 
zusammen mit der "ID zu diesem Wert" (=Val-ID) , zur F- 
F\anktion gesendet, Auf F-Seite ist die Schnitts telle ein 
Standard (nicht-F) -Eingang "New-Value"- Die P-Fimktion priift 
den Eingabewert und legt das Komplement nach Uberpruftmg auf 
den Readback- Value - Die OS wandelt das Komplement und zeigt 
das Ergebnis auf dem "Readback-Anzeige-Feld" an. Der Anwender 
vergleicht den Wert im Eingabefeld mit dem Readback-Value - 
bei Ungleichheit muss er die Abbruchfunktion auswahlen, Wenn 
die Werte aus seiner Sicht identisch sind, bestatigt er die 
Eingabe indem er den Wert noch mal eingibt (diese Wiederho- 
lung der Eingabe kann auch durch einen anderen Anwender er- 
folgen) . Aus diesem Wert erzeugt die OS das Komplement und 
schickt dieses als Acceptance an die F-Funktion. Die F- 
Funktton vergleicht "new-Value" und "Acceptance" (d. h. Wert 
\and Komplement) und wenn diese zusammenpassen gibt die F- 
Funktion deh neuen Wert frei. 

Der Wert muss in einem festen Eingabefeld (dem F-Value zuge- 
ordnet und somit intern mit einer F-ID versehen, - beim Plat- 
zieren des Template/Bedienprogramm) eingegeben werden. 
Jede einzelne Zif fer wird bei der Eingabe vom Bediener mit 
der gewiinschten Zif fer verglichen (Sicherheitsanforderung zur 
Prufung der Tastaturfunktion) . Durch Betatigen einer Ubemah- 
metaste wird der Wert von der OS zusammen mit der Val-ID an 
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die P-F\inktion "sichere Bedieneingabe" iibermittelt (Kommuni- 
kationsweg innerhalb der Anlage beliebig) . Die F-Funktion 
Spiegel t das "Komplement" des Wertes zur Priifung an die OS. 
Das Komplement wird in der OS zum Wert zirriickgerechnet, der 
Wert zur Kontrolle in dartinterliegendem Ausgabe-Feld ange- 
zeigt. Der Bediener vergleicht den Wert mit dem zuerst einge- 
gebenen Wert. Wenn der Wert gleich ist xind der Bediener ein- 
verstanden ist, tippt er den Wert noch ein zweites Mai als 
Acceptance ein und driickt die fibemahmetaste. Die OS schickt 
den Wert zusammen mit der Val-ID als Komplement zur F- 
Funktion. Die F-Funktion pruft die Acceptance und ubemiramt 
bei zeitlicher Korrektheit und Datenkorrektheit den Wert als 
sicheren Wert. Dieser Wert wird wieder von der OS angezeigt 
und ist vom Anwender zum Schluss noch zu prufen. Bei Unter- 
schied zum gewiinschten Wert muss Bediener mit einer neuen Si- 
cherheitseingabe Oder dem Stopp dieser Funktion reagieren. 
Diese letzte Priifung ist jedoch sicherheitstechnisch, d. h. 
zur Erreichung der Sicherheitsklasse SIL 3, nicht erforder- 
lich. 

Fiir die Fumktion in der OS und fur die Dateniibertragung muss 
ein probabilistischer Nachweis entsprechend SIL 2 erstellt 
werden (SIL = Safety Integrity Level gemaS lEC 61508) . Ein 
derartiger probabilistischer Nachweis kann z. B. die Durch- 
fuhriing einer FMEA (Failure Mode and Effect Analysis) sein. 
Die Sicherheits-Anfordenmg an den F-Funktionsbaustein ist 
SIL 3. Durch die Beobachtung des gesamten Bedienvorgangs 
durch den Anwender erreicht die gesamte Funktion SIL 3 . Die 
Verantwortung fur die Eingabe des richtigen Wertes an der 
richtigen S telle verbleibt beim Anwender. Die OS, bzw. die 
gesamte Funktion "sichere Eingabe", tragt nur die Verantwor- 
tung fur die richtige tibertragung des angezeigten Wertes. Die 
Val-ID weist typischerweise Werte zwischen 1 und FFFE (hexa- 
dezimal) auf . Bei Auftreten eines Fehlers wahrend des Ablaufs 
des Verfahrens bleibt gnmdsatzlich der letzte giiltige siche- 
re Wert erhalten. Nach Meustart mussen die Werte neu eingege- 
ben werden* 
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In eineiQ typischen Szenario, in welchem eine Ausgestaltung 
der Erfindung ziim Einsatz kommen konnte, lauft eine Ferti- 
gungsanlage unter genau definierten Bedingungen. Auf einem 
Anzeigef eld einer OS wird ein aktueller Anlagenwert ange- 
zeigt. In Abhangigkeit der gerade zu produzierenden Prodxakte 
mxissen Temperatur- oder der Druckwerte im sicherheitsgerich- 
teten Teil der Anlage geandert werden. Die anlagenspezif i- 
schen Grenzwerte werden bei der gewiinschten Andening jedoch 
nicht iiber- bzw. iinterschritten iind sollen auch nicht gean- 
dert werden. Die zu Sndemden Werte sind nicht unbedingt nur 
die Sicherheit betreffende Werte, sondem haben auch Einfluss 
auf die Produktqualitat . Weitere zu andemde sicherheitsrele- 
vante Werte konnten jedoch auch Auswirkongen auf potentielle 
Risiken haben. In einem ersten Szenario gibt ein Anwender ei- 
ne Anderungsanforderung (change request) in das Bediensystem 
ein. Die betroffene Sicherheitsfunktion in diesem Szenario 
geht daraufhin in den sicheren Zustand (was im Allgemeinen 
sicherheitstechnisch nicht erforderlich ware) . Der Anwender 
gibt in ein dafiir vorgesehenes Eingabefeld den neuen Wert 
ein. Der Anwender validiert seine Eingabe mit seinem eigenen 
Schliissel (mechanischer oder komplexerer Art, z. B. Chipkar- 
te, biometrischer Schlussel u. A), wodurch ein Einbitwert 
(Validation Anwender) gesetzt wird. Der eingegebene Wert wird 
mit den Anlagengrenzwerten verglichen. Bei falscher Eingabe 
kann ein zuvor parametrierter Ersatzwert validiert werden. 
Der akzeptierte Wert oder der Ersatzwert wird in einem dafiir 
vorgesehen Anzeigefeld angezeigt. Der Zustand "akzeptiert" 
Oder "nicht akzeptiert" wird mit einem eigenen Einbitwert 
(Acceptation Condition) in einem separaten Anzeigefeld ange- 
zeigt. 

In einem zweiten Szenario iiberpriif t \and validiert ein zweiter 
Anwender, der Supervisor, die Eingabe des ersten Anwenders 
ymd den riickgespiegelten Wert mit seinem eigenen Schlussel. 
Abhangig von seiner Validierung wird ein Einbitwert (Valida- 
tion Supervisor) generiert und angezeigt. Ein akzeptierter 
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Wert wird als aktuell giiltiger Wert angezeigt. Akzeptiert der 
Supeirvisor den vom ersten Anwender eingegebenen Wert nicht 
innerhalb einer definierbaren Zeitspaime, wird die Eingabe- 
funktion zuruckgesetzt. 

Nach einem Stopp vmd Wiederanlauf der (F-)CPU iind/oder einem 
Stromversorgungsfehler bleibt die F-P\mktion im sicheren Zu- 
stand und der jeweilige Ersatzwert wird als aktuell giiltiger 
sichere Wert angezeigt. 

Zusammengefasst betrif ft die Erfindung somit ein System sowie 
ein Verfahren zxxr sicheren Erfassung von Eingabewerten zur 
Verarbeitung in einer sicherheitsgerichteten Recheneinheit. 
\Jm die sichere Erfassxmg von Eingabewerten mit einer nicht 
sicherheitsgerichteten Bedienvorrichtung zu ermoglichen, wird 
vorgeschlagen, dass mittels einer BedienvorrichtTing ein iiber 
Eingabemittel eingegebener erster Wert mit ersten Anzeigemit- 
teln angezeigt wird, der erste Wert zusaiDmen mit einem Iden- 
tifizierringswert unverschliisselt an eine sicherheitsgerichte- 
te Recheneinheit iibertragen wird, ein von der Recheneinheit 
iibermittelter zweiter Wert in einen dritten Wert umgerechnet 
wird, der dritte Wert mit zweiten Anzeigemitteln angezeigt 
wird, ein iiber die Eingabemittel eingegebener vierter Wert 
mit dritten Anzeigemitteln angezeigt wird, der vierte Wert in 
einen fiinf ten Wert umgerechnet wird und der fiinf te Wert zu- 
sammen mit dem Identifizierungswert unverschliisselt an die 
Recheneinheit iibertragen wird, und dass die Recheneinheit den 
ersten Wert sowie Kontrollwerte und Grenzwerte speichert, den 
Identifizierungswert mit einem der Kontrollwerte mittels ers- 
ter Vergleichsmittel 11 vergleicht, den ersten Wert mit den 
Grenzwerten mittels zweiter Vergleichsmittel 12 vergleicht, 
den ersten Wert in einen zweiten Wert umrechnet, den zweiten 
Wert unverschliisselt an die Bedienvorrichtung iibertragt und 
den fiinf ten Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel 13 vergleicht. 
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Patentanspriiche 

1. System zur sicheren Erfassung von Eingabewerten mit einer 
Bedienvorrichtimg (1) vnd einer sicherheitsgerichteten Re- 
cheneinheit (2), wobei die Bedienvorrichtimg (1) 

• erste Anzeigemittel (6) zur Anzeige eines iiber Eingabemit- 
tel (3) eingebbaren ersten Werts, 

• KommiHiikationsmittel (4) zur unverschliisselten Ubertragung 
des ersten Werts zusammen mit einem Identifizieningswert 
an die Recheneinheit (2) , 

• Rechenmittel (5) zur X3inrechn\mg eines von der Rechenein- 
heit (2) iibermittelbaren zweiten Werts in einen dritten 
Wert, 

• zweite Anzeigemittel (7) zur Anzeige des dritten Werts, 

• dritte Anzeigemittel (8) zur Anzeige eines iiber die Einga- 
bemittel (3) eingebbaren vierten Werts, wobei die Rechen- 
mittel (5) zur Umrechnung des vierten Werts in einen fiinf- 
ten Wert vorgesehen sind und die Kommunikationsmittel (4) 
zur unverschliisselten Ubertragung des fiinf ten Werts zusam- 
men mit dem Identif izierungswert an die Recheneinheit (2) 
vorgesehen sind, 

und wobei die Recheneinheit (2) 

• Speichermittel (10) zur Speicherung des ersten Werts sowie 
zur Speicherung von Kontrollwerten \and Grenzwerten, 

• erste Vergleichsmittel (11) zum Vergleich des Identif izie- 
rungswerts mit einem der Kontrollwerte, 

• zweite Vergleichsmittel (12) zum Vergleich des ersten 
Werts mit den Grenzwerten, 

• Rechenmittel (15) zur Umrechnung des ersten Werts in einen 
zweiten Wert, 

• tibertragungsiaittel (14) zur unverschliisselten Ubertragiing 
des zweiten Werts an die Bedienvorrichtung (1) und 

• dritte Vergleichsmittel (13) zum Vergleich des fiinften 
Werts mit dem ersten Wert 

aufweist. 
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2. System nach Anspruch 1, 

dadurch gekennzeichnet/ 

dass die Rechenmittel (5, 15) zur Bildung eines Komplements 

der Werte vorgesehen sind. 

3. System nach Anspnich 1 oder 2, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) Mittel zur von Ergebnissen der 
Vergleiche der Vergleichsmittel (11, 12, 13) abhangigen Frei- 
gabe des ersten Werts aufweist. 

4. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) zur Anzeige des ersten bzw. des dritten Werts in von- 
einander unterschiedlicher Formatierung vorgesehen sind. 

5. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) eine uber die Eingabemittel 
(3) aktivierbare Abbruchfunktion aufweist. 

6. System nach einem der vorhergehenden Ansprfiche, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) parametrierbare Uberwachungsmittel 
(16) zur Zeitiiberwachung der Ubermittlttng des ersten bzw. des 
vierten Werts aufweist. 

7. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) vierte Anzeigemittel (9) zur 
Anzeige eines weiteren von der Recheneinheit (2) iibertragba- 
ren sechsten Werts aufweist. 

8. System nach einem der vorhergehenden Ansprfiche, 
dadurch gekennzeichnet. 
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dass die Speichermittel (15) zur diversitaren Speicherung der 
Kontrollwerte vorgesehen sind. 

9. System nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-FTinktion zulas- 
sen. 

10. System nach einem der vorhergehenden Anspriiche^ 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) sicherheitsgerichtete Fiinktions- 
mittel (17) ztir sicheren Durchfiihrung eines Funktions tests 
der Bedienvorrichttmg (1) aufweist. 

11. System nach einem der vorhergehenden Jtospruche, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtxing (1) Mittel (18) zur Authentifizie- 
rung von Anwendem aufweist. 

12. System nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass das System Teil eines Automatisierungssystems ist. 

13- Verfahren zur sicheren Erfassung von Eingabewerten, bei 
welchem mittels einer Bedienvorrichtung (1) 

• ein uber Eingabemittel (3) eingegebener erster Wert mit 
ersteii Anzeigemitteln (6) angezeigt wird, 

• der erste Wert zusammen mit einem Identif izierungswert un- 
verschlusselt an eine sicherheitsgerichtete Recheneinheit 
(2) iibertragen wird, 

• ein von der Recheneinheit (2) iibermittelter zweiter Wert 
in einen dritten Wert \imgerechnet wird, 

• der dritte Wert mit zweiten Anzeigemitteln (7) angezeigt 
wird, 

• ein liber die Eingabemittel (3) eingegebener vierter Wert 
mit dritten Anzeigemitteln (8) angezeigt wird, 

• der vierte Wert in einen fiinf ten Wert umgerechnet wird und 
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• der funfte Wert zusammen mit dem Identif izienmgswert \in- 
verschliisselt an die Recheneinheit (2) libertragen wird, 

iind bei welchem die Recheneinheit (2) 

• den ersten Wert sowie Kontrollwerte und Grenzwerte spei- 
chert, 

• den Identifizieningswert mit einem der Kontrollwerte init- 
tels erster Vergleichsmittel (11) vergleicht, 

• den ersten Wert mit den Grenzwerten niittels zweiter Ver- 
gleichsmittel (12) vergleicht, 

• den ersten Wert in einen zweiten Wert umrechnet, 

• den zweiten Wert unverschliisselt an die Bedienvorrichtung 
(1) iibertragt und 

• den fiinften Wert mit dem ersten Wert mittels dritter Ver- 
gleichsmittel (13) vergleicht. 

14. Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

dass die Rechenmittel (5/ 15) jeweils ein Komplement der Wer- 
te bilden, 

15. Verfahren nach Anspruch 13 oder 14, 
dadurch gekennzeichnet, 

dass die Recheneinheit (2) den ersten Wert in Abhangigkeit 
von Ergebnissen der Vergleiche der Vergleichsmittel (11, 12, 
13) freigibt. 

16. Verfahren nach einem der Anspriiche 13 bis 15, 
dadurch gekennzeichnet, 

dass die ersten Anzeigemittel (6) und die zweiten Anzeigemit- 
tel (7) den ersten bzw. den dritten Werts in voneinander un- 
terschiedlicher Formatieanang anzeigen. 

17. Verfahren nach einem der Anspriiche 13 bis 16, 
dadurch gekennzeichnet, 

dass fiber die Eingabemittel (3) eine Abbruchfunktion der Be- 
dienvorrichtung (1) aktivierbar ist. 
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18. Verfahren nach einem der Anspruche 13 bis 17, 
dadurch gekennzeichnet, 

dass die Obermittlung des ersten bzw. des vierten Werts mit- 
tels parametrierbarer Uberwachungsmittel (16) der Recbenein- 
heit (2) zeitlich iiberwacht wird. 

19. Verfahren nach einem der Anspriiche 13 bis 18, 
dadurch gekennzeichnet, 

dass ein weiterer von der Recheneinheit (2) ubertragbarer 
sechster Wert mit vierten Anzeigemitteln (9) angezeigt wird. 

20. Verfahren nach einem der Anspriiche 13 bis 19, 
dadurch gekennzeichnet, 

dass die Kontrollwerte diversitSr gespeichert werden. 

21. Verfahren nach einem der Anspriiche 13 bis 20, 
dadurch gekennzeichnet, 

dass die Eingabemittel (3) keine Drag & Drop-Funktion zulas- 
sen. 

22. Verfahren nach einem der Anspriiche 13 bis 21, 
dadurch gekennzeichnet, 

dass sicherheitsgerichtete Funktionsmittel (17) der Rechen- 
einheit {2)einen Funktionstest der Bedienvorrichtung (1) si- 
cher diirchfiihren. 

23. Verfahren nach einem der Anspriiche 13 bis 22, 
dadurch gekennzeichnet, 

dass die Bedienvorrichtung (1) Anwender authentifiziert. 

24. Verfahren nach einem der Anspriiche 13 bis 23, 
dadurch gekennzeichnet, 

dass das Verfahren zur Erfassung von Eingabewerten innerhalb 
eines Automatisierungssyst^is dient. 
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